SteamHide Malware

SteamHide, araştırmacı @miltinhoc tarafından keşfedilen bir kötü amaçlı yazılımdır. Şu anda, bu güçlü tehdit işlevsellikten yoksundur, ancak aktif olarak geliştirilmekte olduğuna ve yakında vahşi doğada serbest bırakılabileceğine dair işaretler var. Hedeflenen sisteme kurulduktan sonra, SteamHide önce Win32_DiskDrive'ı sorgulayarak VMWare ve VBox için bir kontrol gerçekleştirir ve gerekirse kendini sonlandırır. Ardından, kötü amaçlı yazılım yönetici haklarını kontrol eder ve ayrıcalıklarını cmstp.exe aracılığıyla yükseltmeye çalışır. \Software\Microsoft\Windows\CurrentVersion\Run\BroMal kayıt defterine enjekte edilen bir Kayıt Defteri anahtarı aracılığıyla bir kalıcılık mekanizması oluşturulur.

SteamHide zararlı eylemlerde bulunamasa da, gelecekte etkinleştirilebilecek belirli kod bölümleri içerir. Örneğin tehdit, sistemde SquirrelTemp\SquirrelSetup.log olup olmadığını belirlemeye çalışarak Teams yüklemelerini tarar. Bu yöntem, daha sonra istismar edilebilecek yüklü uygulamaları taramak için genişletilebilir. Özel bir SteamHide yöntemi, tehdidin Twitter istekleri göndermesine olanak tanır; bu işlev, kolayca yükseltilip bir Twitter botuna dönüştürülebilen veya tehdidin Twitter üzerinden komutlar alabilmesi için genişletilebilen bir işlevdir.

Yeni Dağıtım Mekanizması

SteamHide adı, kötü amaçlı yazılımın en ayırt edici yönünü tanımlar - yükleri teslim etmek ve kendini güncellemek için Steam dijital dağıtım platformunu kötüye kullanır. Daha spesifik olarak, güvenli olmayan yükler, Steam profil resimleri olarak kullanılan resimlerin meta verilerine enjekte edilir. Kötü amaçlı yazılımları bu şekilde gizlemek kesinlikle yeni bir şey değil, ancak Steam gibi bir oyun platformunun kullanılması benzersiz bir şey.

Kötü amaçlı yazılımın, hedeflenen sisteme Steam'in yüklenmesini gerektirmediğine dikkat edilmelidir. Oyun platformu yalnızca yükleri barındıran depolama alanı olarak kullanılır. Görüntünün kendisi de tamamen etkin değildir ve herhangi bir zararlı eylem gerçekleştiremez. Bunun yerine, tehditlerin teslimi, silahlaştırılmış Steam profil resmine erişen ve ardından gizli yükü ayıklayan, paketini açan ve yürüten harici bir bileşene devredilir. Dış tehdit, kimlik avı e-postaları, güvenliği ihlal edilmiş alanlar vb. gibi olağan kötü amaçlı yazılım dağıtım kanalları aracılığıyla hedeflenen cihazlara bırakılabilir.